Проблем, движок вырезает яваскрипт

[Коняга 0]

Толь пора отдохнуть, толи глюки

но, публикую новость,

в ней код ява

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a href="java script:settaggio('/bretan/10107_s.jpg');"><img src="/stone/bretan/10107_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a href="java script:settaggio('/bretan/10510_s.jpg');"><img src="/stone/bretan/10510_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><p>10107 - розовая</p></div>

после публикации вижу такой код

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a><img src="/stone/bretan/10107_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a></stone/bretan/10510_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><p>10107 - розовая</p></div>

что-то не пойму, это что, движок вырезает? или поря в пивняк?

(абонент fisherman на дле-инфо - это чтобы не банили сразу)

[kosen 3]

Если бы ты, прежде чем создать тему, воспользовался поиском, то ты бы понял, что скрипты в новостях не работают...

[Коняга 0]

а можно как-то это обойти?

[WMDrakon 20]

Коняга,

думаю, что нет.

А зачем вставлять в новость php код?

[kosen 3]

Коняга,

можно... править прямо через ПХПМАЙАДМИН...

только учти, если после этого ты откроешь отредакрированную новость для внесения каких-либо изменений (через быстрое/полное редактирование), то скрипт будет опять вырезан....

[WMDrakon 20]

kosen,

Коняга,

зачем этот геморой нужен?

вот скажите, мне, пожалуйста!

[kosen 3]

WMDrakon,

на моём сайте, который я сейчас перевожу на движок (вернее даже два сайта), использовались разные скрипты...

Одним из важных скриптов был скрипт расширенной навигации по подразделам...

Из-за того, что движок не поддерживает скрипты в новостях мне пришлось довольно долгое время помучаться, разрабатывая новую структуру сайта...

+ пришлось отказаться от некоторых вещей...

[dataman 0]

Народ ! Надо точно писать петицию Celsoft.

Ну панятна , что выстрел в голову любому посту из PhpMyAdmin решает все наболевште проблеммы. .

С одной стороны.

Но .

Что мешает нашему уважаемому Мастеру в своих парсерах предусмотреть тривиальную проверку , что за юзер чего постит ?????

Ежели - администратор - то тот кусок парсера , отвечающего за анализ и замену символов хмуро идёт мима кода. Если не адин - то пусть проверяет , меняет и прочее. Причём, действительно . Не взирая , куда пишем . Статика , коменты, просто посты .. Если админ , то нефиг скрипту принимать какието решения - какой символ кашерный, какой - нет.

Давайте , чтоли , высказываться - по типу .

Я за подобный подход

или

Против

Ежели мастеру не сруки, то мож кто нить из маститых знатоков сих хак опубликует ? И будет ему вечный респеГт и уважение.

[kosen 3]

dataman,

Уважаемому целсофту уже писались сии пожелания для новых версий... и от меня в том числе...

Ежели он посчитает нужным - то реализует это... ежели нет...

Полагаю, что всякие петиции не помогут...

[dataman 0]

kosen, Ну тагда нам самим нужно как то с сиим хаком подразобраться .. В принципе, согласиь , ничё крамольного я ж не писал . Мож, эта , зделаем ? Для вящей славы DLE ?

Но, поскольку мы тут все законопослушные обладатели лицензии, считаю не лишним спросить всёже мнение Celsoft. Можно ли нам , в рамхах данного топика обменяться сделанными "улучшениями" относительно поднятой задачи.

Изменено 13 мая 2007 пользователем dataman

[kosen 3]

dataman,

Целсофт, полагаю, не будет отчитываться перед нами о том, что он будет или не будет вносить в следующую версию движка... это - коммерческая тайна...

Лично я надеюсь, что хотя бы некоторые из моих предложений, в том числе и эта, будут воплощены в жизнь...

[dataman 0]

kosen,

Предполагалось получить не отчёт о т Celsoft, что от там делает, а ответ типа - "Да . попытайтесь, но я к этому никоим боком неотношусь. Погубите движок свой - ваши проблеммы, ко мне не обращайтесбь" , либо "Не сметь трогать , не ваше дело, читайте лицензию. "

Тогда можно былобы как то смело делиться уже и наработками по сабжу. А так - боязно .

А по поводу что внесётся в доработки а что нет - эта фича точно никогда в скрипт не вживица.

[kaliostro_den 2]

Предполагалось получить не отчёт о т Celsoft, что от там делает, а ответ типа - "Да . попытайтесь, но я к этому никоим боком неотношусь. Погубите движок свой - ваши проблеммы, ко мне не обращайтесбь" , либо "Не сметь трогать , не ваше дело, читайте лицензию. "

Тогда можно былобы как то смело делиться уже и наработками по сабжу. А так - боязно .

А по поводу что внесётся в доработки а что нет - эта фича точно никогда в скрипт не вживица.

Если Celsoft внесет такие изменения то многие пользователи будут винить именно его из-за какой-небудь дырки по их вене, тем самым упадёт рейтинг движка.

А вам лучше просто самому убрать фильтрацию в тех метах где нужно и не доставать Celsoft-а и других.

[kosen 3]

kaliostro_den,

Вот тут ты не совсем прав...

Если эту функцию, как предлагалось целсофту, сделать включаемой/отключаемой в админке, да ещё и дать права на публикацию определённой группе, то все дальнейшие проблемы ложатся на плечи админа и никоем образом не скажутся на рейтенге движка...

[dataman 0]

kosen,

Ну так будем править код или дальше дискутироватьна тему - Чем отличается харашо в нашем представлении от мнения (нибуду говорить чиего..)

kaliostro_den,

А ещё очень сина на рейтинг движка может повлиять отсутствие запреда на пароль типа "1" пользователя "1" находящегося в группе Администраторы ... Не находите ? (Шутка.)

Изменено 14 мая 2007 пользователем dataman

[kaliostro_den 2]

dataman,

Ну не всеж админы такие умные и не все знаю что пихают в новости, вот у них потом вылезет что-небудь и куда они побегут, вот именно суда жаловаться.

сделать включаемой/отключаемой в админке

Это уже лучше чем вообще отключить.

[dataman 0]

kaliostro_den,

админы такие умные и не все знаю что пихают в новости

А позвольте Вас спросить , что это за админ, который (читаем выше).

они побегут, вот именно суда жаловаться.

ИМХО - отсутствие мозга не заменит даже почётное членство на уважаемом мною форуме.

Отключать фичу, откуда отключать, включать автоматом при следуюшем разлогивании - это детели . Каждый как хочет так и применит потом . Рецепты , я думаю дадим ... Пока же у нас нету главного - механизма обхода парсера.

Кароче . Ты с нами или как ?

Изменено 14 мая 2007 пользователем dataman

[celsoft 5 991]

На самом деле решение очень даже простое. Замена двух строчек в двух файлах. Реализация в дистрибутиве не планируется, т.к. плохо для посетителей сайта. Представьте что некто получил доступ к сайту с правами админа, то что человек просрал доступ это его проблемы, будет восстанавливать сайт, базу данных и т.д. это вопрос десятый

Но скрипт защищает простых посетителей сайта, от атак на них, непозволяя даже админу провести XSS нападение на сайт, путем публикации новости с зловредным кодом. Ведь сайт смотрят обычные посетители, которые невиноваты безграмотности администратора или уязвимости скрипта.

Кому нужен хак для грамотного отключения парсера, то создавайте тему в платной поддержке.

[dataman 0]

Представьте что некто получил доступ к сайту с правами админа

Мастер ..

Человек, получивший ... (далее - по тексту цитаты)

сделает следующее. (при наличии злых намерений )

1. На главной странице сайта разместит шрифтом эдак 36 надпись -

АДМИН - ЛОХ

Сайт пахакал кулхацкер Беня ЗапридиГора.

Свабоду всем кракодилам в амстирдаме.

2. Сменит пароль администратора сайта.

3. Поубивает все учётные записи, до которых дотянется. Да и посты тоже .

Хотя не уверен. 1 и 2 могут быть поменены местами.

При отсутствии злых намерений - будет сидеть как мышка . Чтоб не вызвать подозрения.

Такому админу, который теряет свой пароль - хорошая наука Да и только. А остальных, понимающих проблематику лишать свободы творчества - ну , незнаю.

Хотя, безусловно, решение что должно быть в скрипте и как оно должно работать - исключительно Ваша прерогатива.

Строчки часом , не эти ?

 if (!$this->allow_php) {


		$source = str_replace("<?", "&lt;?", $source );

		$source = str_replace("?>", "?&gt;", $source );


	}

Лирическое отступление

Хотя и не Не на DLE и админы не ламеры, ... но вот ..

Глянем в живуюсюда ...

И гдето я такие банерочки видал ....

Изменено 14 мая 2007 пользователем dataman

[celsoft 5 991]

dataman,

то что описано вами сделает малолетний придурок, который и ломать не умеет, а просто будет готовый експлоит, опубликованный в открытых источниках, таким людям не суждено сломать DLE, по крайней мере в том виде в котором он сейчас.

Грамотные люди сделают тихий XSS на какой нибудь третьей странице новостей, в виде неотоброжаемой картинки и будут получать одинарные хеши паролей пользователей, которые расшифровать проще чем двойные хеши и с учетом что большинство используют везде одинаковые пароли получат больше пользы от взлома. Лично я сделал бы именно так.

[kosen 3]

Вот вам и ответ от руководства!

Могу лишь добавить, что горе-админов в сети более чем половина...

Вы хотя бы посмотрите на созданные темы на этом форуме - и это будущие руководители проектов...

Что до меня - то я пересмотрел свое отношение к скриптам в новостях... безопасность важнее...

Хотя пришлось очень многое переделывать, и от многого отказываться... искать другие пути реализации...

[kaliostro_den 2]

А позвольте Вас спросить , что это за админ, который (читаем выше).

Поверь мне таких много.

Замена двух строчек в двух файлах

Можно просто подредактировать класс.

будут получать одинарные хеши паролей пользователей, которые расшифровать проще чем двойные хеши

А что мешает ложить в куки 2-ые хеши? А еще лучше и с использованием сальта.

[dataman 0]

kaliostro_den,

Чёта прямое закоментироване строчек нипривело к желаемому результату. Можа ещё где чего подправить надо ? (ошиппки ДНК во внимание неберём)

А позвольте Вас спросить , что это за админ, который (читаем выше).

Так по моему мнению это не админ . Это АДинокий МИНоискатель

Изменено 14 мая 2007 пользователем dataman

[kaliostro_den 2]

Так по моему мнению это не админ . Это АДинокий МИНоискатель

У людей есть деньги они покупабт а пользоваться тогком не умеют, ну или не покупают.

Если хочешь избавить от парсинга то снеси строки в файлах addnews.php строки примерно такого вида

$full_story = $parse->process($_POST['full_story']);  

$short_story = $parse->process($_POST['short_story']);  

$title = $parse->process($_POST['title']);

Если хочешь снести что-то определённое правь parse.class.php

Изменено 14 мая 2007 пользователем kaliostro_den

[celsoft 5 991]

Можно просто подредактировать класс.

если исправить класс то любой сможет отправить на сайт несанкционированный код, класс трогать нельзя это точно, есть более красивые решения, при том что скрипт всегда знает группу пользователя.